La continuité de votre activité est essentielle pour la pérennité de votre business. Les interruptions et corruptions de votre système informatique telles qu’un incident sur votre infrastructure, une catastrophe naturelle ou une cyberattaque peuvent représenter de réelles menaces pour la sécurité de votre activité. Dans son dernier rapport, Veeam indique qu’en 2022, 85 % des entreprises interrogées ont fait face à une attaque de type ransomware. Outre l’impact financier, une panne informatique ou un sinistre peut endommager temporairement ou définitivement les données de votre clientèle. De telles pertes sont dramatiques pour votre réputation. C’est pourquoi il est important d’accorder une attention particulière à votre propre plan de reprise d’activité.

Afin d’éviter toute menace pour votre activité, il est impératif de prévoir des outils et des processus pour pallier les conséquences négatives qu’un incident de ce genre pourrait provoquer. Ces dispositifs limitent les risques et permettent d’anticiper les dégâts éventuels, notamment grâce à :

•     la mise en place de sauvegardes ;
•     un plan de reprise d’activité (PRA ou DRP en anglais pour disaster recovery plan) ;
•     la planification de la continuité de votre activité.

L’augmentation continue et exponentielle des données représente un réel défi pour les entreprises. Ces dernières doivent en effet assurer la protection de leur business et de leur infrastructure tout en protégeant leurs données et celles de leur clientèle.

La mise en place d’un PRA, en plus de vous prémunir contre l’arrêt de votre activité, présente de nombreux avantages. En effet, les conséquences d’une interruption liée aux données sont nombreuses. Outre l’aspect financier, un tel événement peut notamment affecter votre business sur plusieurs autres plans, comme le démontre ce graphique :

La résilience des données et des infrastructures informatiques constitue un facteur de plus en plus important pour assurer la continuité de votre activité. Cette notion de résilience peut être assimilée à de la résistance face aux interruptions éventuelles et à votre capacité à maintenir une activité constante. Et ce, malgré une indisponibilité, même temporaire, de vos données ou de votre infrastructure initiale. Cette haute disponibilité, couplée à la protection des données à travers des sauvegardes régulières et un plan de reprise d’activité, vous permet d’éviter la perte totale de vos données et celles de votre clientèle. Vous vous assurez ainsi de la possibilité de relancer votre activité en cas d’interruption (détérioration du disque dur, piratage, erreur humaine, catastrophe naturelle, etc.).

Le PRA définit les processus métier à mettre en place afin de redémarrer votre activité en cas d’incident ou d’interruption. Les indicateurs importants pour définir votre stratégie sont les suivants :

• le RPO (recovery point objective ou PDMA en français). Ce terme désigne le taux de perte de données maximal admissible. Il se mesure sur une période définie et est généralement échelonné comme suit : aucune perte possible, 1 heure, 4 heures ou 24 heures depuis la dernière sauvegarde de données ;
• le RTO (recovery time objective ou la DMIA en français). Cette notion désigne la durée maximale d’interruption admissible, soit la durée pendant laquelle une application peut rester hors service avant d’être redémarrée. Le RTO est échelonné de manière similaire au RPO : pas de délai possible, 1 heure, 4 heures ou 24 heures avant la reprise d’activité.

Ces indicateurs doivent être prédéfinis en fonction de la criticité des données affectées par un incident. Un certain type d’application ne nécessitera pas forcément le même plan de reprise d’activité qu’un autre. Par exemple, une application utilisant des données bancaires ne peut pas se permettre le moindre temps d’arrêt ou de perte de données. À l’inverse, une application institutionnelle, bien qu’essentielle, n’est pas critique. Une tolérance quant au délai d’interruption sera donc admise.

Chez OVHcloud, nous avons pris le parti d’accompagner notre clientèle dans la mise en place d’un PRA à travers les solutions de nos partenaires technologiques. En effet, ceux-ci nous permettent de vous proposer les solutions les plus répandues et éprouvées pour la mise en place de votre plan de reprise d’activité. Veeam et Zerto démontrent bien l’importance et la plus-value de ces partenariats technologiques.

La mise en place d’un PRA vous aide à limiter l’impact des incidents sur votre activité et à diminuer les pertes de données liées à une interruption de service, même temporaire. Cependant, certains types d’entreprises, comme les banques ou les fournisseurs de services informatiques, ne peuvent se permettre de temps d’arrêt. Ils doivent bénéficier de services en ligne disponibles à tout moment. Cela implique de construire une infrastructure résiliente capable de fonctionner et de rester accessible en toutes circonstances.

En effet, bâtir des infrastructures résilientes constitue l’objectif à atteindre pour la sécurité d’une entreprise. Cependant, la mise en place d’un plan de reprise d’activité efficace représente un processus à adapter en continu. Ce dernier doit être testé et mis à jour régulièrement. En effet, votre parc de solutions informatiques ainsi que votre infrastructure évoluent et par conséquent, votre exigence en matière de sécurité avec.

« […] La résilience doit être considérée comme une approche globale au sein de l’entreprise. Ce n’est en aucun cas la seule responsabilité du service informatique ou des experts en sécurité. Du point de vue de l’entreprise au sens large, il est important de mettre en place une culture du management des risques informatiques. Du plus haut échelon au plus bas. Chaque employé doit connaître son rôle et ses responsabilités dans cette stratégie globale. Pour la bonne réalisation d’un plan de résilience IT, il est indispensable de commencer par une étude réaliste des risques. Elle doit être conduite de façon régulière. Nous recommandons habituellement de la mener tous les 6 mois sur l’ensemble des points critiques de votre système. »

Arnaud Wetzel, cofondateur et CTO de KBRW, et Ronan Garet, Site Reliability Engineer

Un plan de reprise d’activité vous permet de réagir lors d’un événement imprévu pouvant nuire à votre business. Assurer la continuité de votre activité nécessite de prévoir, le plus en amont possible, les actions à entreprendre avant, pendant et après un incident. Et ce, afin de maintenir vos services et assurer le fonctionnement optimal de votre entreprise.

Cette planification s’appuie sur trois éléments :

• assurer une communication transparente et rassurante sur les canaux à votre disposition (ex. e-mails, réseaux sociaux, presse) concernant la crise éventuelle. Tenez vos équipes, votre clientèle et vos partenaires informés des avancées de la résolution de l’incident et prévenez-les lorsque celui-ci est terminé ;
• établir un plan d’action pour vos équipes en cas d’incident. Elles doivent savoir quoi faire et qui contacter. Veillez à les mettre régulièrement au courant des évolutions de la planification et des changements de politiques de sécurité ;
• disposer d’une infrastructure informatique résiliente. Il s’agit du meilleur moyen de maintenir vos services en ligne en toutes circonstances. Vous évitez ainsi les pertes ou les coûts liés aux interruptions.

Une planification des procédures à suivre vous permettra donc de faire face à la plupart des situations menaçant votre entreprise. Nos partenaires peuvent vous fournir des services de consulting pour vous aider à mettre en place un PRA ou planifier la continuité de votre activité.

« […] la première démarche à avoir est de bien identifier ses besoins en résilience en fonction du service hébergé. Il faut donc définir, pour chacun des services, sa criticité et le risque encouru en cas de problème de disponibilité. Une fois cet état des lieux réalisé, nous rentrons dans une phase de conception d’architecture en reprenant l’ensemble des éléments identifiés lors de l’analyse réalisée. […] Nous pouvons dégager trois différents pans d’infrastructure sur lesquels le client doit travailler pour assurer sa résilience :

résilience de l’infrastructure de production ;
mise en œuvre de la sauvegarde ;
mise en œuvre du PRA.

Ces solutions doivent évidemment être sécurisées afin d’assurer la conservation de l’ensemble des données client. »

Jean-Charles Ferrand, directeur général de Partitio

* Selon une étude menée par l’éditeur de logiciels CA technologies.